Im Interview erklärt Daniel Graßer, Senior Director of Security Services bei plusserver die Wichtigkeit von lokalen Rechenzentren, die Bedeutung einer nachhaltigen Security-Strategie, SOC als Service, Sicherheit vor Ort und in der Cloud, das Fehlen von Notfallkonzepten und den Einfluss von KI für die Cybersicherheit.
Wie viele Rechenzentren haben Sie und wo stehen diese?
Wir haben vier eigene Rechenzentren, alle in Deutschland. Das ist ein sehr wichtiges Merkmal, gerade wenn man sich den Public-Bereich oder auch die kritischen Infrastrukturen anschaut. Wenn es um Cloud-Transformationsthemen geht, sollte ich mir als Unternehmen Gedanken machen, welchen Weg ich gehen möchte. Wo sollen meine Daten in Zukunft liegen?
Wenn ich mit sensiblen Daten zu tun habe, sollte ich mir überlegen, wo ich meine Daten tatsächlich ablege. Insbesondere, wenn ich einen US-Hyperscaler in Betracht ziehe. Entscheide ich mich für einen lokalen Anbieter, dann weiß ich zumindest, dass meine Daten den Rechtsraum nicht verlassen. Aber auch das Thema Vendor Lock-in ist nicht zu vernachlässigen. Wie eng binde ich mich an einen Anbieter und dessen Technologien? Muss ich teuer dafür zahlen, um meine Daten wieder von ihm weg zu migrieren? Bei plusserver ist der Traffic zum Beispiel kostenfrei.
Daniel Graßer,
Senior Director of Security Services
bei plusserver
Wie lässt sich Security nachhaltig gestalten?
In der IT-Modernisierung ist es wichtig, Altlasten loszuwerden und auch in Richtung moderne Cloud-Architekturen zu denken, um die IT-Landschaft zu konsolidieren. Beim Thema Security ist Nachhaltigkeit unglaublich wichtig. Ich sollte mir folgende Fragen stellen: Was brauche ich als Basis-Absicherung? Wo tut es mir weh? Wo verliere ich sehr viel Geld? Im Security-Bereich ist es teilweise noch so, dass gerne das Gießkannenprinzip gelebt wird. Das heißt, ich mache mal ein bisschen Security in allen Bereichen, dann wird es schon passen. Das ist mittlerweile ein überholtes Modell. Eine nachhaltige Security-Strategie lautet: Richte Security auf das aus, was du wirklich schützen möchtest. Bring Transparenz ins Unternehmen und versuche dadurch, einen Prozess zu etablieren. Berücksichtige auch Back-up- und Disaster-Recovery-Szenarien.
Security muss also Chefsache sein?
Schauen Sie sich das Allianz Risk Barometer für deutsche Unternehmen an. Ich war nicht überrascht, dass Security nach wie vor auf Platz Nummer zwei liegt, gleich hinter der Betriebsunterbrechung. Zugleich ist die Gefahr durch Cyberangriffe weltweit gesehen auf Platz eins. Ist Security nicht Chefsache, wird‘s schwierig.
Wo fehlt es an der Umsetzung von Security-Strategien in Unternehmen?
Die Frage sollte sich jedes Unternehmen stellen. Wir sind mitten in der digitalen Transformation. In Deutschland stecken wir noch in einer Ramp-up-Phase. Das Spielfeld von Cyberkriminellen erweitert sich sukzessive. Alles, was digitalisiert wird, wird in die Cloud transformiert. Mitarbeiter, deren Kommunikationswege, Vertrauensstellungen etc. werden ganz gezielt ausspioniert.
Deswegen eine ganz klare Aussage von meiner Seite: Ich muss mir als Unternehmen wirklich Gedanken machen, ob ich das Thema Security noch alleine stemmen kann oder besser Services aus dem Haus gebe. Zum Beispiel, wenn ich über Leistungen wie ein Security Operations Center (SOC) spreche.
Fehlt da nicht etwas Dynamik?
Der Schritt in eine sichere IT-Infrastruktur muss in der Geschwindigkeit des Kunden durchgeführt werden. Man kann »Cloud-only« nicht diktieren. Stattdessen sollten sich Dienstleister sukzessive mit dem Kunden dem Thema annähern und gemeinsam umsetzen. Nur so schafft man Vertrauen.
Viele Organisationen haben sich für New Work geöffnet. Dieses Prinzip funktioniert auch hybrid und die Mitarbeiter können überall auf der Welt arbeiten. Diese Mindset-Veränderung ist für die Cloud ganz wichtig. Zugleich hat diese Veränderung Schattenseiten, wenn man auf die Security schaut. Es wurden während der ersten Corona-Phase teilweise sehr schnell Entscheidungen getroffen. Gewisse Security-Ansätze wurden nicht beachtet, weil es schnell gehen musste. Jetzt gilt es, das Ganze einzufangen, neu zu bewerten und Security-Prozesse festzulegen. Es besteht trotz der Verlagerung in die Cloud weiterhin Sorge um Sicherheit und Compliance. Die Stärke von plusserver ist, dass wir beide Welten berücksichtigen. Das ist ein wichtiger Faktor, um Angst zu nehmen.
Hundertprozentige Sicherheit gibt es nirgends, das zeigt die Realität.
Hundertprozentige Sicherheit werden wir nicht erlangen, aber man kann es Cyberkriminellen etwas schwieriger machen. Man spricht mittlerweile von organisierter Kriminalität, von Hacking-Banden, die es gezielt darauf anlegen, Unternehmen zu erpressen, Daten zu klauen, Sabotageakte durchzuführen.
Kann KI den Fachkräftemangel lindern und dahin bringen, dass wir gut mit ihr leben können?
Ja. Künstliche Intelligenz kann natürlich nicht alles lösen. Wenn zum Beispiel ein Angriff in einem SOC aufschlägt, spielt Know-how und Erfahrung eine große Rolle. Security braucht Erfahrung. Das wird KI nicht ablösen, sie wird unterstützen. Stichwort »Threat Intelligence«. Denkbar ist, dass KI Informationen liefert. Etwa: »Hier, schau mal, dies kann etwas sein, das in dem Zusammenhang schon irgendwo passiert ist«.
Wir reden hier über einen hybriden Ansatz. Eine KI kann beispielsweise ein SIEM-System unterstützen. Es ist eine Intelligenz, die Abhängigkeiten erkennen und ganz gezielt eine Meldung geben soll. Aber irgendjemand muss dann auch noch genauer hinschauen. Ich glaube, von dieser Kombination lebt das Ganze.
Wir sind bei plusserver sehr stolz darauf, dass wir ein eigenes SOC mit eigenem Analysten-Team aufgebaut haben. Wir stellen eine SIEM-Plattform auf unserer BSI C5 Typ 2-testierten Cloud bereit. Die Daten bleiben somit in Deutschland, bei uns in den Datacentern. Zusätzlich zum SOC-Angebot haben wir einen Schwachstellenscanner im Portfolio, um unseren Kunden und Partnern die Möglichkeit zu geben, Verwundbarkeiten im Unternehmensnetzwerk zu ermitteln. Das ist auch für das SOC und die SOC-Analysten ein wichtiges Element. Wenn ich weiß, welche Schwachstellen ich habe, kann ich besser auf entsprechende Meldungen reagieren.
Wie viele Unternehmen haben Ihrer Meinung nach einen Notfallplan?
Da besteht extrem großer Handlungsbedarf. Viele Unternehmen haben kein vernünftiges Notfallkonzept umgesetzt. Für Cyberangriffe ist ein Notfallplan ein Must-have, um im K-Fall richtig reagieren zu können. Dazu gehört auch, die richtigen Telefonnummern zu haben. Wo muss ich anrufen? Habe ich einen Partner? Habe ich einen Incident Response Provider? Habe ich eine Cyber-Security-Versicherung? Diese Themen gehören zu einem nachhaltigen Security-Prozess.
Um unsere Kunden dabei zu unterstützen, Security als Prozess zu etablieren, arbeiten wir kontinuierlich an unserem Portfolio. Unser Ziel ist es, vollstandardisierte Services anzubieten und diese fortlaufend zu erweitern, um als Trusted Partner für unsere Kunden agieren zu können.
Vielen Dank für das Gespräch.